soupçon d'intrusion

[Gof]

Bonjour-bonsoir Patteblanche

 

Tout d'abord, lorsque tu réponds, clique sur "Répondre" entre "Flash" et "Nouveau", de sorte de ne pas reprendre tout le texte du message précédent.

 

Antivir a eu des toutes sur ce soft : xcleaner_free.exe. Il te l'a mis en quarantaine. Restaure la de ta quarantaine, il semble effectivement légitime. Si tu ne l'utilises pas particulièrement, supprime le. Sinon, le rapport d'analyse Antivir est propre.

 

Tu n'as pas bien respecté la pré-procédure, c'est important de faire ces modifications :

C:\Documents and Settings\Propriétaire\Mes documents\moi\hijackthis\HijackThis.exe

Mets Hijackthis.exe dans un dossier à la racine du disque ("c:\Hijackthis\hijackthis.exe" par exemple).

Renomme le également, comme je te l'avais demandé. Hijackthis.exe -> patte.exe (par exemple).

Si tu ne sais pas comment renommer, fais un clic-gauche sur le fichier pour le sélectionner, puis un clic-droit et sélectionner "Renommer" ; là tu saisis "patte.exe".

 

Rends toi dans ton panneau Ajout/Suppression de programmes (via le Panneau de configuration) et désinstalle :

 

J2SE Runtime Environment 5.0 Update 2

J2SE Runtime Environment 5.0 Update 6

Java 2 Runtime Environment, SE v1.4.2_06

Conserver les versions obsolètes de JAVA SUN induit des risques sécuritaires que certaines infections exploitent.

 

Télécharge la dernière version JAVA : http://www.java.com/fr/download/index.jsp.

 

Rends toi dans ton menu démarrer>exécuter et tape ce qui suit : cmd

Une fenêtre va s'ouvir sur l'invite de commande. Copie-colle ce qui suit (ce que j'ai mis en gras) :

 

sc stop Ql1wsntuwwm

puis valide par [Entrée].

 

sc delete Ql1wsntuwwm

puis valide par [Entrée].

 

(il y a peu de ligne, car j'avais fait un fix en mode sans échec de toutes les lignes, fort de ce que j'avais lu peu avant sur zebulon)

J'aurais préféré qu'on le fasse ensemble. Mais tant pis. Si tu as des lignes décochées dans ton MSCONFIG, recoche les.

 

Pour l'instant, il n'y a absolument rien d'apparent laissant à croire à une infection. Fais les modifications que je t'ai demandées, et reposte un log hijackthis accompagné d'un rapport d'analyse en ligne :

 

Fais un scan en ligne avec Panda.

Et poste le rapport qu'il t'affichera à la fin :

• pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici.
  
• Si tu n'y arrives pas, tu trouveras un tuto ici
  
• Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : adresse jetable
  Je t'invite à bien lire le tuto pour comprendre comment sauvegarder le rapport et le poster dans ta prochaine réponse.
  

A plus tard.

[patteblanche]

bonsoir ou bonjour plutôt!

 

Un premier élément de réponse avec hijackthis, car mon scan en ligne de panda n'a pas permis de sauvegarder le log because la fenêtre était réduite comme cela arrive parfois, et je n'ai pas eu accès à l'icône sauvegarder , je le relancerai donc tt à l'heure.

 

Merci de ton aide, j'ai fait ttes les autres manips que tu m'as indiquées (correctement j'espère de ma part!)

 

A bientôt.

 

Logfile of HijackThis v1.99.1

Scan saved at 01:24:13, on 26/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\hijackthis\patteblanche.exe

 

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

[Gof]

Bonjour patteblanche

 

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

Désinstalle à nouveau :

 

J2SE Runtime Environment 5.0 Update 6

 

Rends toi sur ce lien : http://java.sun.com/javase/downloads/index.jsp

• Clique sur "Download" à droite de "Java Runtime Environment (JRE) 5.0 Update 8".
  
• Coche le bouton-radio "Accept License Agreement".
  
• Dans le premier tableau "Windows Platform - J2SE Runtime Environment 5.0 Update 8", clique sur "Windows Offline Installation, Multi-language" à gauche de "jre-1_5_0_08-windows-i586-p.exe".
  
• Le téléchargement va commencer, double clique sur "jre-1_5_0_08-windows-i586-p.exe" à l'issue pour débuter l'installation et laisse toi guider.
  

Consulte bien le tuto pour sauvegarder le rapport Panda, lis le avant pour t'assurer que tu fais tout correctement :

 

-> tuto : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Réessaie et poste moi le rapport si tu l'obtiens.

 

As-tu rencontré des difficultés à faire ceci :

Rends toi dans ton menu démarrer>exécuter et tape ce qui suit : cmd

Une fenêtre va s'ouvir sur l'invite de commande. Copie-colle ce qui suit (ce que j'ai mis en gras) :

sc stop Ql1wsntuwwm

puis valide par [Entrée].

sc delete Ql1wsntuwwm

puis valide par [Entrée].

 

Peux tu faire ceci -> Copie-colle le texte suivant dans le bloc-notes:

 

regedit /a /e %systemdrive%\regkey.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig"

notepad %systemdrive%\regkey.txt

del /q %systemdrive%\regkey.txt

Sauvegarde comme mslook.bat sur le Bureau :

Nom: mslook.bat

Type: Tous les fichiers

 

Localise mslook.bat sur le Bureau et double-clique dessus. Poste le contenu du bloc-notes. Quand tu fermes le bloc-notes, la fenêtre CMD se fermera et le fichier texte sera effacé.

 

Toujours rien d'inquiétant dans ton rapport, tu n'as à priori aucun souci. J'attends les 2 petits logs demandés (le rapport Panda et le Mslook pour confirmer). As-tu des disfonctionnements particuliers ?

 

Petite question : as-tu acheté cet ordinateur neuf ? A l'ouverture de windows, lorsque tu dois choisir et cliquer sur ton nom de session, quels sont les choix disponibles ?

Modifié le 26 août 2006 par Gof

[patteblanche]

Bonjour Gof

 

Excuses, je ne suis pas très matinal! qq petites réponses partielles avant de retenter panda:

- Pour les manips sc stop etc , la 1ère s'est passée sans pb, la 2ème, il ne s'est ensuite rien produit lorsque j'ai fait entrer, j'ai donc refermé l'écran sans savoir si ça avait opéré" ou non.

 

- l'ordi je l'ai acheté neuf il y a un peu moins de 3 ans avec xp family installé donc pas de cd rom pour reformater le cas échéant

 

-pour les ouvertures de session, j'ai deux comptes, le mien et celui de mon petit-fils et un compte invité désactivé; cependant hier en consultant les comptes utilisateurs, j'ai vu un 4ème compte nommé Asp ... que je ne connaissais pas et que j'ai donc supprimé.

en mode sans échec, j'ai 2 ouvertures de sessions: administrateur et propriétaire.

 

Pour les disfonctionnements, pour l'instant je reste dans l'inconnu pour une réutilisation éventuelle de bitdefender9security que j'ai acheté chez cdiscount version deux postes valable 2 ans. après la désinstallation que j'ai faite comme tu me l'as dit, je suis resté qd même avec 3 fichiers que je ne peux supprimer même ave c killbox dans program files: un fichier sotwin(bitdeefender, et 2 précédents que j'avais renommés selon les indic de la hot line bit def)

 

Enfin, je m'interroge sur ma connexion internet, car avec zone alarme, je vois une connexion wanadoo, une connexion nouveau réseau, et un adaptateur de bouclage..(?). j'ai peut-être fait une mauvaise manip lorsque j'avais perdu ma connexion wanadoo ethernet extense et que j'ai recréé.

 

Bon je me remets au boulot et je reposte les logs demandés en début d'am.

 

 

Mille mercis pour ta compétence

[patteblanche]

rebonjour!

 

Bon, je progresse petit à petit!

J'ai pu scanner avec panda.;rien de méchant comme d'hab... les cookies de mon petit-fils et smitfraud pour moi.

 

je te joins le log hijackthis actuel et panda après.

 

Par contre, je n'ai pas su faire la manip mslook.bat

après avoir fait la copie du bloc-notes, comment puis-je le sauvegarder sur le bureau?

 

 

merci de ton attention, je reviens lire dans une heure...et mille excuses pour les tracas.

 

Logfile of HijackThis v1.99.1

Scan saved at 15:36:03, on 26/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\hijackthis\patteblanche.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9EA61873-8A6D-47A6-BCC6-B0493056B313}: NameServer = 80.10.246.130 80.10.246.3

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

 

 

Incident Status Location

 

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\pierrick\Application Data\Mozilla\Firefox\Profiles\dts53eoj.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Hbmediapro Not disinfected C:\Documents and Settings\pierrick\Application Data\Mozilla\Firefox\Profiles\dts53eoj.default\cookies.txt[.adopt.hbmediapro.com/]

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix\Process.exe

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Propriétaire\Bureau\SmitfraudFix.zip[smitfraudFix/Process.exe]

[Gof]

Re patteblanche

 

Tu copies-colles le contenu dans ton bloc-notes. Ensuite tu te rends sur "Fichier", puis "Enregistrer sous" ; la tu cliques une fois sur l'icône du bureau, puis tu changes le "nom" et le "type de fichier" comme indiqué.

 

Tu fermes le bloc-notes. Double-clique ensuite sur Mslook.bat que tu trouveras alors sur ton bureau.

 

Le rapport d'analyse Panda n'est pas inquiétant, il n'y a que des cookies et la détection de Smitfraudfix de S!Ri. Pense à supprimer Smitfraudfix et à vider ta corbeille. Cela ne sert à rien de conserver cet outil, il est très régulièrement mis à jour : il vaut mieux le télécharger à chaque fois, ponctuellement, si tu en as besoin.

[patteblanche]

Vala vala, je m'améliore de plus en plus, quand je serai centenaire je deviendrai peut-etre expert en informatique!

 

Voilà le rapport mslook:

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandFrom]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\ExpandTo]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state]

"system.ini"=dword:00000000

"win.ini"=dword:00000000

"bootini"=dword:00000000

"services"=dword:00000000

"startup"=dword:00000000

Quoi qu'ça dit de beau ce truc?

 

A tt de suite je reste en ligne.

[Gof]

Re,

 

cette ligne dans un précédent rapport :

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

... me laissait penser que tu avais décochées certaines entrées dans ton msconfig. Afin de m'assurer qu'il n'y avait rien d'infectieux de décoché (et donc non apparent dans le log hijackthis), je t'ai fait suivre cette dernière manipulation qui m'indique ce qui serait décoché. En l'occurence, ici rien.

Supprime mslook.bat.

 

Tu n'es aucunement infecté. Tout va bien je t'assure.

 

Peux tu faire cette dernière manipulation -> Copie-colle le texte suivant dans le bloc-notes:

CHCP 1252

cd c:\documents and settings

dir *.* >c:\see.txt

notepad c:\see.txt

del /q c:\see.txt

Même manipulation qu'avec le mslook.bat :

• Sauvegarde comme see.bat sur le Bureau :
  Nom: see.bat
  Type: Tous les fichiers
  

Localise see.bat sur le Bureau et double-clique dessus. Poste le contenu du bloc-notes. Quand tu fermes le bloc-notes, la fenêtre CMD se fermera et le fichier texte sera effacé. Le "julien" m'intrigue. Cela me permettra peut-être d'y voir plus clair.

[patteblanche]

Me revoilou!

 

Voici le log:

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 5C50-0385

 

Répertoire de C:\Documents and Settings

 

26/07/2006 20:44 <REP> .

26/07/2006 20:44 <REP> ..

20/08/2006 03:07 <REP> Administrateur

29/08/2002 17:36 <REP> All Users

20/08/2006 03:07 <REP> pierrick

26/08/2006 02:54 <REP> Propriétaire

0 fichier(s) 0 octets

6 Rép(s) 34 897 866 752 octets libres

 

 

a tt de suite et encore merci...peux-tu me dire ce que tu penses de mes connexions (voir avant der message )

[Gof]

Re bonsoir patteblanche

 

Supprime see.bat. A nouveau copie-colle ce qui suit dans ton bloc-notes, la manipulation est similaire.

CHCP 1252

c:

cd \documents and settings

dir|find "REP">c:\a.txt

dir /ah|find "REP">c:\b.txt

 

cd\

copy a.txt+b.txt vue.txt

notepad vue.txt

del ?.txt

Sauvegarde comme vue.bat sur le Bureau :

• Nom: vue.bat
  Type: Tous les fichiers
  

Double-clique sur vue.bat et copie-colle le contenu du bloc-notes (qui va s'ouvrir) dans ton prochain post.

Supprime à l'issue vue.bat de ton bureau et le fichier c:\vue.txt. Vide la corbeille.